Regolamento (UE) 2024/1689
Domande e risposte AI Act UE
Le domande più ricorrenti sul mercato italiano: scadenze, obblighi, sistemi ad alto rischio, GPAI, sanzioni e percorso di conformità.
Apri ogni voce per leggere una sintesi operativa, oppure vai alla pagina dedicata per l’approfondimento.
01 Cos’è l’AI Act in sintesi?
L’AI Act è il Regolamento (UE) 2024/1689, il quadro europeo che disciplina sviluppo, immissione sul mercato e uso dei sistemi di intelligenza artificiale. Non vieta l’IA in generale, ma introduce regole proporzionate al rischio. Alcuni usi sono vietati, altri sono soggetti a obblighi stringenti perché ad alto rischio, altri richiedono trasparenza verso gli utenti. Per le organizzazioni, il primo passo è capire quali sistemi di IA sono usati e quale ruolo si assume.
Apri la pagina del domanda02 A chi si applica l’AI Act?
L’AI Act si applica a diversi operatori: fornitori, deployer, importatori, distributori e altri soggetti della catena del valore. Rileva anche il fatto che il sistema o il suo output sia usato nell’Unione europea. Un’azienda può essere deployer quando usa un sistema acquistato da terzi, ma può diventare fornitore se sviluppa, modifica sostanzialmente o commercializza un sistema con il proprio nome.
Apri la pagina del domanda03 Quando entra in applicazione l’AI Act?
L’AI Act prevede un calendario progressivo. Alcune disposizioni, come i divieti e l’alfabetizzazione in materia di IA, hanno iniziato ad applicarsi prima del quadro completo. Gli obblighi più complessi, in particolare per i sistemi ad alto rischio, seguono scadenze differenziate. Per le imprese è prudente non attendere l’ultima data: inventario, classificazione, contratti, formazione e governance richiedono tempo.
Apri la pagina del domanda04 Che cosa prevede l’articolo 4 sull’alfabetizzazione IA?
L’articolo 4 richiede che fornitori e deployer adottino misure per garantire un livello adeguato di alfabetizzazione in materia di IA. La formazione deve essere proporzionata a conoscenze tecniche, esperienza, contesto d’uso e persone coinvolte. Non basta una policy astratta: occorre dimostrare che chi usa o supervisiona sistemi di IA comprende opportunità, limiti, rischi e corrette modalità operative.
Apri la pagina del domanda05 Come capire se un sistema è ad alto rischio?
La classificazione richiede di verificare finalità, settore, impatto sulle persone e possibili riferimenti all’Allegato III o alla normativa di prodotto. Non basta il nome commerciale dello strumento. Un sistema usato per screening del personale, accesso a servizi essenziali o supporto decisionale in ambiti sensibili può richiedere analisi approfondita. La valutazione dovrebbe essere documentata e riesaminata se cambia l’uso.
Apri la pagina del domanda06 Che cosa sono le pratiche vietate?
Le pratiche vietate sono usi dell’IA ritenuti incompatibili con i diritti fondamentali e i valori europei. Riguardano, tra gli altri, manipolazione dannosa, sfruttamento di vulnerabilità, social scoring e alcuni usi biometrici particolarmente invasivi. L’organizzazione dovrebbe intercettare questi rischi prima dell’acquisto o del rilascio di strumenti, con una procedura di valutazione preventiva dei casi d’uso.
Apri la pagina del domanda07 Quali obblighi ha un deployer?
Il deployer è il soggetto che utilizza un sistema di IA sotto la propria autorità. Gli obblighi cambiano in base alla classificazione del sistema. Nei casi ad alto rischio possono includere uso conforme alle istruzioni, supervisione umana, controllo dei dati di input, conservazione dei log, monitoraggio e segnalazione di problemi. Anche quando gli obblighi sono limitati, restano rilevanti privacy, sicurezza, contratti e governance interna.
Apri la pagina del domanda08 Cosa cambia per l’IA generativa?
L’IA generativa può rientrare nella disciplina dei modelli di IA per finalità generali e, a seconda dell’uso, anche in obblighi di trasparenza o in sistemi ad alto rischio. Per chi usa strumenti generativi, il nodo operativo riguarda dati inseriti, output, diritti d’autore, affidabilità, supervisione umana e limiti contrattuali del fornitore. L’adozione aziendale dovrebbe essere accompagnata da regole interne chiare.
Apri la pagina del domanda09 Quali sono le sanzioni dell’AI Act?
Le sanzioni sono differenziate in base alla violazione e possono essere rilevanti, soprattutto per pratiche vietate e inosservanza degli obblighi principali. Oltre al rischio economico, vanno considerati blocchi operativi, richieste delle autorità, impatti reputazionali e contenziosi. La prevenzione passa da un processo strutturato: inventario, classificazione, formazione, contratti, controlli e documentazione.
Apri la pagina del domanda10 Come iniziare un percorso di conformità?
Un percorso efficace parte dall’inventario dei sistemi di IA usati o sviluppati. Poi occorre classificare i casi d’uso, identificare ruoli e responsabilità, verificare fornitori e contratti, definire misure di alfabetizzazione, valutare rischi privacy e sicurezza, predisporre documentazione e controlli. La conformità non è solo legale: richiede governance, processi decisionali, monitoraggio e aggiornamento continuo.
Apri la pagina del domanda